Perusmittaristo (Base Metrics)
Base-ryhmä kuvaa haavoittuvuuden luontaisia ominaisuuksia, jotka pysyvät samoina ajan kulusta ja käyttöympäristöstä riippumatta. Base-pisteet määrittelee tavallisesti haavoittuvasta tuotteesta vastuussa oleva taho, kuten ohjelmistoyhtiö. Base-ryhmään kuuluu kaikkiaan kahdeksan ominaisuutta, jotka on jaoteltu haavoittuvuuden hyödynnettävyyttä (exploitability) ja vaikuttavuutta (impact) kuvaaviin osatekijöihin.
Ensiksi mainittu tarkoittaa teknisiä menettelytapoja ja keinoja, joilla hyökkääjä voi hyödyntää kyseistä haavoittuvuutta. Jälkimmäinen ryhmä arvioi onnistuneesta hyök-käyksestä tai haavan hyväksikäytöstä kohteelle tai sen komponentille koituvia välittömiä haittavaikutuksia. (FIRST 2020)
Hyödynnettävyyttä kuvaavat osatekijät ja niiden lyhenteet ovat seuraavat:
• Hyökkäysvektori (Attack Vector, AV)
• Hyökkäyksen monimutkaisuus (Attack Complexity, AC)
• Vaaditut käyttöoikeudet (Privileges Required, PR)
• Käyttäjän vuorovaikutus (User Interaction, UI)
Hyödynnettävyyden osatekijät ottavat kantaa muun muassa siihen, missä kontekstissa ja mitä välinettä, eli hyökkäysvektoria käyttäen haavoittuvuuden hyödyntäminen on hyökkääjälle mahdollista. Hyökkäysvektorina voi toimia esimerkiksi julkinen verkko tai sähköpostin liitetiedostona leviävä haittaohjelma. Mittari saa sitä korkeammat pisteet, mitä kauempana, fyysisesti tai loogisesti tarkasteltuna, hyökkääjä saa sijaita haavoittuvasta komponentista ollakseen yhä riittävän lähellä hyväksikäyttääkseen haavoittuvuutta. Logiikka perustuu siihen olettamukseen, että potentiaalisten hyökkää-jien määrä kasvaa jos esimerkiksi fyysistä kontaktia kohteeseen ei vaadita. (FIRST 2020) Myös hyökkäyksen monimutkaisuus on oleellinen tekijä tarkasteltaessa haavoittuvuuden kokonaiskriittisyyttä. Mitä vähäisemmällä osaamisella ja niukemmilla resursseilla hyökkäys on toteutettavissa, sitä suurempi on jälleen potentiaalisten hyökkääjien joukko.
Käyttäjän, siis jonkun muun henkilön kuin hyökkääjän, vuorovaikutus huomioidaan pisteytyksessä siten, että mitä vähemmän ulkopuolisten vuorovaikutusta onnistuneen hyökkäyksen toteuttamiseksi tarvitaan, sitä vakavammaksi uhka luokitellaan. Hyökkäyk-sen onnistumiHyökkäyk-sen näkökulmasta tarpeellista vuorovaikutusta voi olla esimerkiksi vahingollisen verkkosivun avaaminen tai tietyn sovelluksen asentaminen kohdekonee-seen. (FIRST 2020)
Vaikuttavuusmittareilla arvioidaan suoria vaikutuksia, jotka onnistuneesta hyökkäyk-sestä hyökkäyksen kohteelle todennäköisesti koituisivat. Mittareina toimivat tietoturvallisuuden kolme perusominaisuutta luottamuksellisuus, eheys ja saatavuus.
Kutakin turvaominaisuutta arvioidaan yksi kerrallaan. Jos ominaisuus ei vaarannu kyseisestä haavoittuvuudesta, se saa mittarissa arvon None. Muita vaihtoehtoja ovat Low (matala) ja High (korkea).
Viimeisenä, eli kahdeksantena ominaisuutena arvioidaan haavoittuvuuden vaikutuksen laajuutta (Scope, S). Pisteet nousevat, jos haavoittuvan komponentin, kuten ohjelmiston
tai ohjelmistomoduulin, onnistuneella hyväksikäytöllä voi olla vaikutusta haavoittuvan komponentin kanssa eri turva-alueella (security scope) toimivaan toiseen komponenttiin.
FIRST määrittelee turva-alueen niin, että kaikki komponentit, jotka tarjoavat toimintojaan vain komponentille A, kuuluvat A:n kanssa samaan turva-alueeseen. Esimerkiksi sovel-lus, joka käyttää erillistä tietokantaa, on tietokannan kanssa samassa turva-alueessa, mikäli tietokantaa ei käytä mikään muu sovellus. (FIRST 2020)
Ajallinen mittaristo (Temporal Metrics)
Temporal-ryhmä kuvaa haavoittuvuuden sellaisia ominaisuuksia, joiden pisteytys voi muuttua ajan myötä:
• Hyökkäyskoodin kypsyys (Exploit Code Maturity, E)
• Haavoittuvuuden paikattavuus (Remediation Level, RL)
• Haavoittuvuustiedon luotettavuus (Report Confidence, RC)
Helppokäyttöisen hyväksikäyttömenetelmän julkaisu nostaa pistemäärää, kun taas virallinen korjauspäivitys laskee sitä. Kun uusi haavoittuvuus löydetään, virallisen korjauksen saapumisessa kestää oma aikansa. Usein riskiä on mahdollista lieventää jo ennen varsinaista lopullista korjausta erilaisilla tilapäisillä rajoitustoimenpiteillä. Epäviral-lisenkin korjausohjeen olemassaolo laskee pisteitä. Välillä tiedot haavoittuvuudesta, varsinkin jos haavoittuvuus on hyvin tuore ja vastikään julkaistu, ovat epämääräisiä tai tarkat tekniset yksityiskohdat puuttuvat. Ylipäänsä kaikki haavoittuvuustietoon liittyvä epävarmuus nostaa pistemäärää. (FIRST 2020)
Ajallinen mittaristo huomioi tunnettujen, käytettävissä olevien korjaus- ja rajoituskeinojen olemassaolon, mutta ei ota kantaa siihen, onko keinoja otettu ympäristössä käyttöön.
Vasta seuraavaksi esiteltävä ympäristömittaristo huomioi tehdyt toimenpiteet.
Ympäristömittaristo (Environmental Metrics)
Environmental-ryhmän metriikat ovat toimintaympäristö- ja organisaatiokohtaisia. Tällä mittarilla voidaan kustomoida haavoittuvuuden vakavuusarviota juuri omaan kohteeseen sopivaksi ja sen prioriteettien mukaiseksi. Haavoittuvuutta arvioidaan luottamuksen, eheyden ja saatavuuden turvaamisen näkökulmista. Jos esimerkiksi luottamuksellisuu-den säilyminen arvioidaan muita kahta arvoa tärkeämmäksi, sille voidaan antaa mittarissa muita suurempi painoarvo. Asteikkona on määrittämätön-matala-keskitaso-korkea. (FIRST 2020)
Työkalu sallii myös Base Metrics -perusmittariston ominaisuuksien kustomoinnin. Tämä antaa mahdollisuuden huomioida ympäristössä haavoittuvuuden hyväksikäytön estä-miseksi jo tehdyt rajoitustoimenpiteet. Jos esimerkiksi ohjelmisto asennetaan oletusarvoisesti käyttämään ylläpitäjätason käyttäjätunnusta, mutta organisaatiossa oh-jelmiston oikeuksia on rajoitettu, voi vaikuttavuutta ohoh-jelmiston haavoittuvuuden vakavuusarvion kohdalla laskea matalammalle tasolle.
Pisteyttäminen
Haavoittuvuuden CVSS-kokonaispistearvo ilmaistaan yhden desimaalin tarkkuudella as-teikolla 0,0–10,0. Mitä vakavammasta haavoittuvuudesta on kyse, sitä korkeammaksi pisteet nousevat. Pistearvo muodostuu peruspisteistä sekä valinnaisista pisteistä.
Peruspisteet johdetaan haavoittuvuuden Base Metrics -mittariston ominaisuuksien pohjalta, ja ne määrittelee tavallisesti haavoittuvasta tuotteesta vastuussa oleva taho, kuten ohjelmistoyhtiö. Peruspisteet pysyvät yleensä muuttumattomina ajan kuluessa.
Valinnaiset pisteet muodostuvat aikaan ja ympäristöön sidotuista arvoista, eivätkä ne ole CVSS-mallissa pakollisia, mutta ne täsmentävät kokonaisarviota haavoittuvuuden vakavuudesta. (FIRST 2020)
Ympäristöstä riippuvat pisteet (Environmental Metrics) määrittelee loppukäyttäjäorgani-saatio, ja tämä arvio on tarkoitettu organisaatioiden sisäiseen käyttöön. Ohjelmiston käyttäjä on paras mahdollinen taho arvioimaan, miten haavoittuvuuden hyväksikäyttö vaikuttaisi juuri heidän omassa ympäristössään.
Kaikki arviot tehdään sillä olettamuksella, että hyökkääjä on jo havainnut haavoittuvuu-den olemassaolon ja tunnistanut mistä haavoittuvuudesta on kyse. Tästä seuraa se, ettei arvioijan ole tarpeen pohtia, kuinka helposti haavoittuvuus voidaan löytää, eli sillä ei ole pisteytyksen kannalta merkitystä. (FIRST 2020)
Tarkat laskukaavat löytyvät CVSS-mittariston dokumentaatiosta, ja pisteiden laske-miseksi verkossa on olemassa myös CVSS-laskureita (FIRST 2021). Karkealla tasolla laskuprosessi etenee Kuvan 7 mukaisesti. Lopputuloksena (kuvassa oikealla) syntyy paitsi CVSS-pistearvo, myös kirjainmerkkijono (Vector String), josta on nähtävissä eri osa-alueiden vaikutus kokonaispistemäärään. Merkkijono on määrämuotoinen, ja se tulee aina esittää CVSS-pistelukeman yhteydessä. (FIRST 2020)